让木马、窃听器无处藏身

网络与通信

XGlacier

最近在论坛上看到最多的帖子就是“怎样知道自己是否中了木马”、“中了窃听器怎么办”等等。由此可见我国网民的安全意识已有了很大的提高，但具体应该怎么做呢？木马、窃听器等又是藏在哪儿呢？
木马，窃听器的种类虽然有成千上万，但万变不离其宗，它们的藏身之处总是有踪可寻的。一般来说，它们比较喜欢藏在以下几个地方：

1.Autostart文件

该文件位于C:\Windows\Start menu\Programs\Startup；
注册表中的位置： [HKEY_CURR-ENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders Startup="C:\Windows\Start menu\Programs\Startup"]；
越危险的地方就越安全。说不定木马就利用了你这种心理呢！赶快回去看看吧！

2.Win.ini

用记事本打开Win.ini，内容如下：
[Windows]
load=
run=
注意，上面这些一般情况下是空着的！

3.System.ini

同样可用记事本打开，内容如下：
[boot]
Shell=Explorer.exe
一定要仔细查看，一般Shell=Explorer.exe后如果多了其他文件就得好好查毒了！
例子：QQ窃密5.0就是在Explorer.exe后面加入了Wsock.exe。

4.Winstart.bat

该文件位于C:\Windows目录下，看似平常，但每次都重新启动。

5.Registry键

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]；
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]；
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]；
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]；
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]；
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]；
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]；
不用说了吧，大名鼎鼎的冰河就是在这些地方做的文章！

6.Wininit.ini

该文件位于C:\Windows目录下，一旦运行后就被Windows删除，安装的Setup程序常用到。可用记事本打开，内容如下：
Example:(content of wininit.ini)
[Rename]
NUL=C:\Windows\picture.exe
例子：将C:\Windows\picture.exe设置为NUL，表示删除它，是完全隐蔽执行的！

7.Autoexec.bat

DOS下的自启动文件。

8.Registry Shell Spawning

使用过Subseven吗？看看吧！
[HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*"；
[HKEY_CLASSES_ROOT\comfile\shell\open\command] @="\"%1\" %*"；
[HKEY_CLASSES_ROOT\batfile\shell\open\command] @="\"%1\" %*"；
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] @="\"%1\" %*"；
[HKEY_CLASSES_ROOT\piffile\shell\open\command] @="\"%1\" %*"；
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] @="\"%1\" %*"；
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] @="\"%1\" %*" ；
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] @="\"%1\" %*" ；
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command] @="\"%1\" %*" ；
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] @="\"%1\" %*" ；
这些"%1 %*"需要被赋值，如果将其改为 "Server.exe %1 %*"， Server.exe将在每次启动时被执行，后缀为exe、pif、com、bat、hta的文件都可被执行。
怎么样，查到什么了吗？其实以上地方没有可疑之处并不能代表你机器是干净的！
例如：QQ密码侦探就是把Windows\System下的internat.exe移到了Windows目录下，而将自身复制到System下！呵呵，很阴险吧！其实要清除也不难，原来的internat.exe是32KB，现在224KB。明白怎么做了吧！
另外，就是要多多利用进程查看软件，如Windows优化大师等，一般来说当前运行的程序都会显示在进程中的！至于广外幽灵则需结合上面的知识来清除！
大家现在还怕木马、窃听器吗？